memo

　IPA（独立行政法人情報処理推進機構、理事長：藤江 一正）は、脆弱性を悪用した攻撃の傾向を踏まえて、リスク分析や効果的な対策の考え方を纏めた「脆弱性を悪用する攻撃への効果的な対策についてのレポート」を2013年9月26日からIPAのウェブサイトで公開しました。

　近年、特に2013年は、CMS(*1)等の脆弱性を悪用したウェブサイト改ざんやクライアントソフトの脆弱性を悪用したウイルス感染などの攻撃によって発生した、情報漏えい等の被害が社会問題化しています。脆弱性は、攻撃を受けなければ無害とはいえ、情報システムが抱えるセキュリティ上のリスクであり、システム運用者やPCユーザーは、脆弱性を放置することの危険性を十分に認識し、迅速で適切な対策を講じることが重要です。

　ソフトウェアに内包している「脆弱性」には、攻撃に悪用されている危険度の高いものだけでなく攻撃発生の可能性が低いもの、技術的な深刻度が低いもの(*2)まで様々なタイプが存在します。したがって、脆弱性対策は、全てのソフトウェアに対して闇雲に行うのではなく、組織への被害を回避するために、攻撃による影響やリスクを十分に把握した上で、最適な対策を実施することが重要です。
そのため、本レポートでは対策の要否を判断するための脆弱性の絞り込み（図1）や、リスクを把握するための3つの要素（?脆弱性の技術的特性、?攻撃状況、?組織への影響）を整理した上で、CVSS(*3)を用いて脆弱性の危険度を多角的に評価する方法を解説しています。（図2）

IPA テクニカルウォッチ 「脆弱性を悪用する攻撃への効果的な対策についてのレポート」の公開：IPA 独立行政法人 情報処理推進機構